2020.05.18

코로나19 접촉자 추적 앱을 둘러싼 4가지 중요한 문제

Cynthia Brumfield | CSO
각국에서 접촉자 추적 앱(contact-tracing apps)을 출시하기 위해 서두르는 상황에 전문가들은 보안과 개인정보보호 기능이 부족하다고 우려하고 있다. 
 
ⓒ Getty Images Bank
 
전 세계 연구진, 정부, IT 업체는 코로나바이러스 감염을 추적하는 모바일 앱을 만들기 위해 경쟁하고 있다. 이로 인해 수십 개의 접촉자 추적 앱이 전 세계에서 개발 중이거나 논의 중에 있다. 

접촉자 추적 앱은 일반적으로 중앙 집중형 또는 분산형 방식을 따르는데, 앱에 대한 정부의 제어 수준과 휴대폰에 구현된 다양한 종류의 기술이 접목된다. 

분산형 앱은 현재 미국에서 구글과 애플 API('개플(Gapple)'이라고도 함)를 공동 개발 중인데, 이를 통해 보건당국에서 자체 앱을 개발할 수 있다. 또 다른 분산형의 주요 모델은 독일, 오스트리아, 스위스, 리투아니아, 에스토니아, 핀란드, 아일랜드를 포함한 유럽 국가가 개발하고 있는 DP-3T(Decentralized Privacy-Proserving Proximity Tracing) 프로토콜이다. 

중앙 집중형 앱은 영국 NHS(National Health Services) 기술 그룹인 NHSX가 개발한 접촉자 추적 앱으로 가장 잘 설명할 수 있다(최근 보고서에 따르면, 영국은 애플-구글 모델 사용을 고려하고 있다). 

호주의 코비드세이프(COVIDSafe) 앱은 싱가포르에서도 비슷한 방식으로 모델링됐다. 2월부터 자국민에게 위치 및 건강 상태 추적 앱을 사용하도록 의무화한 중국은 중앙 집중형 앱 사용의 대표적인 사례다. 

또 다른 중앙 집중형 사례는 이스라엘이 테러리스트 추적용으로 만들어진 주 정보국의 전화 추적 기술을 사용해 코로나19로 진단된 이스라엘 국민들을 추적한 것이다. 

일반적으로 앱의 개발과 제어를 중앙 정부의 손에 맡기는 중앙 집중형 접근 방식은 분산 방식보다 개인정보보호와 보안 관점에서 낮은 점수를 받지만, 본질적으로 2개의 접근 방식 모두 좋지 않다. 

FPF(Future of Privacy Forum) 변호사 폴리 샌더슨은 본지와의 인터뷰에서 “중앙 집중화된 접근방식은 보건 당국이 바이러스가 어떻게 확산되는지를 이해하기 위해 위험 모델링과 분석을 위한 중요한 데이터에 접근할 수 있게 해준다”고 말했다. 

파이어아이 EMEA CTO인 데이비드 그라우트는 “적어도 문서상으로는 분산화된 접근방식이 나아보인다. 특히 중앙 집중형 앱이 보안이 되지 않거나 암호화되지 않은 경우에는 그렇다. 하지만 잘 구축된 중앙 집중형 앱은 제대로 구성되지 않은 분산형 앱보다 낫다”고 말했다. 

영국 서리 대학교 사이버보안 교수 앨런 우드워드는 “기술 부문 측면에서 블루투스를 이용해 밀접 경보를 받아 다른 사람과 얼마나 가까이 다가갔는지를 보려는 곳도 있고, GPS를 사용해 위치정보를 수집하려는 곳도 있다. 일반적으로 개발중인 중앙 집중형 방식은 GPS를 사용해 데이터를 수집한다. 일부는 GPS와 함께 블루투스 밀접 경보를 사용하기도 하는데, 이 경보는 앱 사용자가 지난 2주 동안 코로나바이러스에 양성 반응을 보인 사람과 밀접 접촉한 때를 알려준다. 

우드워드는 “이런 관점에서 볼 때, 중앙 집중형 접근방식은 개인정보보호 측면에서 명백한 침해이며, 블루투스는 조금 덜 침해하는 것으로 보인다. 그러나 익명으로 수행할 수 있고, 일반적으로 14일 후에는 데이터를 삭제해야 하는 블루투스 접근 방식 또한 앱이 어떤 데이터를 필요로 하는지에 따라 개인정보보호와 보안을 침해할 수 있다”고 설명했다.


접촉자 추적 앱의 중요 문제 

모든 코로라바이러스 앱의 개발을 둘러싸고 중앙 집중형이던 분산형이던 상관없이 몇 가지 근본적인 중요한 문제가 있다. 이는 일반적으로 상호운용성, 기능성, 내구성 및 효용성 등 4가지 범주로 분류된다.
 
- 상호운용성(Interoperability): 각 국가가 서로 다른 목적을 달성하기 위해 다른 프로토콜을 채택하고 수정함에 따라 앱이 상호운용되지 않을 것이라는 점이다. 파이어아이 연구진은 현재 또는 계획된 추적 앱에 사용되는 8가지 프로토콜에 대해 기술했다. 
  
- 기능성(Functionality): 앱을 완전히 출시한 국가는 거의 드물며, 출시 전에 앱을 테스트한 국가도 거의 없다. 예를 들어, 호주의 코비드세이프 앱은 아이폰에서 제대로 작동하지 않는다. 블루투스 연결이 이뤄지려면 아이폰의 잠금을 해제해야 앱이 전경(foreground)에서 실행돼야 한다. 
이런 문제는 독일이 중앙집중형 PEPP-PT(Pan-European Privacy-Preserving Proximity Tracing) 프로젝트에서 분산형인 DP-3T 접근방식으로 바꾸게 만들었다. 내부자에 따르면, 영국 앱의 테스트 버전은 이미 자체 코드 데이터베이스가 완전 엉망으로 드러났다. 

- 내구성(Durability): 이 앱들이 코로나바이러스 사태가 끝나고나서도 오랫동안 다른 목적으로 국민들을 감시하는 데 사용되는 영구적인 고정 장치가 될 수 있을까? 이에 대해 FPF의 폴리 샌더슨은 “중앙 집중형 모델을 사용하면 미래에 정부가 관련없는 목적으로 데이터를 사용할 수 있는 위험이 내재되어 있다”면서, “이런 우려는 적절한 데이터보호 프레임워크가 없거나 기본 인권을 준수하지 않는 지역에서 고조되고 있다”고 말했다.   
이 문제는 영국의 NHSX 수장인 매튜 굴드가 영국 의회 인권위원회에서 영국 국민은 추적 앱으로 수집한 데이터를 삭제할 수 없을 것이라고 알리면서 불거졌다. 굴드는 또한 "정부가 향후 연구를 위해 데이터를 '가명화된(pseudonymized)' 방식으로 보관할 것"이라고 말했다. 우드워드는 “여기서부터 걱정이 시작된다. 최악은 임무 변경(mission creep)”이라고 말했다. 
 
- 유용성(Utility): 코로나바이러스 확산을 막는데 유용한 앱이 과연 전 세계에 존재하는지 의문이 풀리지 않는다. 불확실성의 일부는 앱 도입 시점에서 비롯된다. 앱은 아직 개발 중이며, 사용자에게 도달하려면 최소 1~2개월은 걸릴 것이라는 공감대가 형성되어 있다. 그럼에도 불구하고 공중 보건 전문가들은 코로나바이러스 확산을 막는데 앱이 효과를 거두기 위해서는 보급률이 60% 이상이어야 한다고 말한다. 앱 사용이 의무적이지 않는 한, 중국을 제외하고는 거의 불가능하다. 또한 이 정도의 보급률에 도달하려면 수개월이 걸릴 수 있다. 예를 들어, 싱가포르는 4월에 앱을 출시했지만, 인구의 20%밖에 도입하지 않았다.  


개인정보보호가 가미된 접촉자 추적

대부분의 보안 전문가는 앱 데이터가 다른 목적으로 사용되지 않도록 법적, 기술적 보호 조치를 마련하는 것을 지지한다. 우드워드는 “이것이 휴대폰에 남아 있어야 하는 미래의 이유를 상상할 수 있으며, 중국처럼 행동하고 일반화된 추적 앱이 될 가능성이 있다”면서, “따라서 만료되는 즉시, 전체적으로 삭제해야 한다는 일몰 조항을 포함한 법적 보호 장치를 마련해야 한다”고 말했다.   

임무 변경의 가능성을 최소화할 수 있는 사용 통제나 수집된 데이터의 매개 변수를 제한하는 등의 입법 체계를 가진 국가는 거의 없다. 호주와 영국 모두 앱의 매개 변수를 제한할 수 있는 개인정보보호 및 기타 법률을 채택하는 방향으로 나아가고 있다. 

미국에서는 로저 워커 상원의원과 존 툰 상원의원이 코로나19 소비자 데이터 보호법(COVID-19 Consumer Data Protection)을 도입하겠다고 발표했다. 이들은 이 법안이 미국인에게 코로나19와 싸우는 데 개인 데이터를 사용하는 경우, 데이터가 어떻게 사용되고 저장되는지에 대해 더 많은 투명성을 제공하고 책임은 기업에 있다는 내용이라고 말했다. 
 
그러나 입법만이 임무 변경 문제를 막을 수 있는 것은 아니다. 샌더슨은 영국의 앱을 만든 NHSX가 설립한 윤리위원회가 임무 변경 문제에 대해 바람직한 정책 목표를 수립, 실행할 수 있는 길을 제시한다고 말했다. 

3월 말에 통과된 2조 달러 규모의 경기부양법안이 미국 질병관리본부(Centers for Disease Control, CDC)에 감시 및 데이터 수집 시스템을 위해 최소 5억 달러를 지원했지만, 현재 미국 정부에서 코로나바이러스 추적 앱 개발을 감독하는 사람이 누구인지 확실하지 않다. 사실상 다른 모든 국가와 달리, 미국은 구글-애플 형태의 민간 부분에서 추적 방법을 고안하고 보건 당국과 협력하는 구조인 것으로 보인다. 


접촉자 추적의 잠재적인 보안 위험 

접촉자 추적 앱이 어떤 사이버보안 취약점을 드러내는지 말하기에는 너무 이르다. 보안 연구진은 구글-애플 API를 제외하고는 모든 앱의 전체 소스코드는 여전히 사용할 수 없기 때문에 완전한 투명성과 분석이 필요하다고 말한다. 

또한 대부분의 앱은 아직 인도와 호주(및 중국) 이외의 지역에서는 출시되지 않아 연구원들이 작동 방식에 대한 가시성을 거의 얻지 못했다. 호주의 코비드세이프 앱과 인도의 아로쟈 세투(Aarogya Setu) 앱에 대한 연구원들의 초기 보고서는 주요 사이버보안 문제가 앞으로 닥칠 수 있음을 시사했다. 

호주 개발자 짐 머사어드는 코로나세이트 앱에서 악의적인 사용자가 무기한으로 어떤 사용자도 추적할 수 있는 문제를 발견했다. 머사어드는 호주 보건당국에 이 결함과 다른 취약점을 알렸다. 인도에서는 엘리엇 알더슨이라는 이름을 가진 윤리적 해커가 결함을 발견했지만 인도 정부는 그의 발견을 부인했다. 하지만 아로자 세투 앱이 쉽게 해킹당할 수 있다는 것을 시사한다. 

파이어아이의 그라우트는 “아직 앱을 둘러싼 주요 사이버보안 문제를 발견하지 못했지만, 주요 문제는 앱이 구현된 후에나 나타날 것”이라고 말했다. 보안전문가들은 다가오는 이 앱의 파도에 도전하고 테스트하기 위해 버그 바운티가 설정되어야 한다고 입을 모은다. 그라우트는 애플리케이션 제공업체들이 도전에 대해 개방적일 것이라 가정하는 것도 이런 제도때문이다"고 말했다. editor@itworld.co.kr 


2020.05.18

코로나19 접촉자 추적 앱을 둘러싼 4가지 중요한 문제

Cynthia Brumfield | CSO
각국에서 접촉자 추적 앱(contact-tracing apps)을 출시하기 위해 서두르는 상황에 전문가들은 보안과 개인정보보호 기능이 부족하다고 우려하고 있다. 
 
ⓒ Getty Images Bank
 
전 세계 연구진, 정부, IT 업체는 코로나바이러스 감염을 추적하는 모바일 앱을 만들기 위해 경쟁하고 있다. 이로 인해 수십 개의 접촉자 추적 앱이 전 세계에서 개발 중이거나 논의 중에 있다. 

접촉자 추적 앱은 일반적으로 중앙 집중형 또는 분산형 방식을 따르는데, 앱에 대한 정부의 제어 수준과 휴대폰에 구현된 다양한 종류의 기술이 접목된다. 

분산형 앱은 현재 미국에서 구글과 애플 API('개플(Gapple)'이라고도 함)를 공동 개발 중인데, 이를 통해 보건당국에서 자체 앱을 개발할 수 있다. 또 다른 분산형의 주요 모델은 독일, 오스트리아, 스위스, 리투아니아, 에스토니아, 핀란드, 아일랜드를 포함한 유럽 국가가 개발하고 있는 DP-3T(Decentralized Privacy-Proserving Proximity Tracing) 프로토콜이다. 

중앙 집중형 앱은 영국 NHS(National Health Services) 기술 그룹인 NHSX가 개발한 접촉자 추적 앱으로 가장 잘 설명할 수 있다(최근 보고서에 따르면, 영국은 애플-구글 모델 사용을 고려하고 있다). 

호주의 코비드세이프(COVIDSafe) 앱은 싱가포르에서도 비슷한 방식으로 모델링됐다. 2월부터 자국민에게 위치 및 건강 상태 추적 앱을 사용하도록 의무화한 중국은 중앙 집중형 앱 사용의 대표적인 사례다. 

또 다른 중앙 집중형 사례는 이스라엘이 테러리스트 추적용으로 만들어진 주 정보국의 전화 추적 기술을 사용해 코로나19로 진단된 이스라엘 국민들을 추적한 것이다. 

일반적으로 앱의 개발과 제어를 중앙 정부의 손에 맡기는 중앙 집중형 접근 방식은 분산 방식보다 개인정보보호와 보안 관점에서 낮은 점수를 받지만, 본질적으로 2개의 접근 방식 모두 좋지 않다. 

FPF(Future of Privacy Forum) 변호사 폴리 샌더슨은 본지와의 인터뷰에서 “중앙 집중화된 접근방식은 보건 당국이 바이러스가 어떻게 확산되는지를 이해하기 위해 위험 모델링과 분석을 위한 중요한 데이터에 접근할 수 있게 해준다”고 말했다. 

파이어아이 EMEA CTO인 데이비드 그라우트는 “적어도 문서상으로는 분산화된 접근방식이 나아보인다. 특히 중앙 집중형 앱이 보안이 되지 않거나 암호화되지 않은 경우에는 그렇다. 하지만 잘 구축된 중앙 집중형 앱은 제대로 구성되지 않은 분산형 앱보다 낫다”고 말했다. 

영국 서리 대학교 사이버보안 교수 앨런 우드워드는 “기술 부문 측면에서 블루투스를 이용해 밀접 경보를 받아 다른 사람과 얼마나 가까이 다가갔는지를 보려는 곳도 있고, GPS를 사용해 위치정보를 수집하려는 곳도 있다. 일반적으로 개발중인 중앙 집중형 방식은 GPS를 사용해 데이터를 수집한다. 일부는 GPS와 함께 블루투스 밀접 경보를 사용하기도 하는데, 이 경보는 앱 사용자가 지난 2주 동안 코로나바이러스에 양성 반응을 보인 사람과 밀접 접촉한 때를 알려준다. 

우드워드는 “이런 관점에서 볼 때, 중앙 집중형 접근방식은 개인정보보호 측면에서 명백한 침해이며, 블루투스는 조금 덜 침해하는 것으로 보인다. 그러나 익명으로 수행할 수 있고, 일반적으로 14일 후에는 데이터를 삭제해야 하는 블루투스 접근 방식 또한 앱이 어떤 데이터를 필요로 하는지에 따라 개인정보보호와 보안을 침해할 수 있다”고 설명했다.


접촉자 추적 앱의 중요 문제 

모든 코로라바이러스 앱의 개발을 둘러싸고 중앙 집중형이던 분산형이던 상관없이 몇 가지 근본적인 중요한 문제가 있다. 이는 일반적으로 상호운용성, 기능성, 내구성 및 효용성 등 4가지 범주로 분류된다.
 
- 상호운용성(Interoperability): 각 국가가 서로 다른 목적을 달성하기 위해 다른 프로토콜을 채택하고 수정함에 따라 앱이 상호운용되지 않을 것이라는 점이다. 파이어아이 연구진은 현재 또는 계획된 추적 앱에 사용되는 8가지 프로토콜에 대해 기술했다. 
  
- 기능성(Functionality): 앱을 완전히 출시한 국가는 거의 드물며, 출시 전에 앱을 테스트한 국가도 거의 없다. 예를 들어, 호주의 코비드세이프 앱은 아이폰에서 제대로 작동하지 않는다. 블루투스 연결이 이뤄지려면 아이폰의 잠금을 해제해야 앱이 전경(foreground)에서 실행돼야 한다. 
이런 문제는 독일이 중앙집중형 PEPP-PT(Pan-European Privacy-Preserving Proximity Tracing) 프로젝트에서 분산형인 DP-3T 접근방식으로 바꾸게 만들었다. 내부자에 따르면, 영국 앱의 테스트 버전은 이미 자체 코드 데이터베이스가 완전 엉망으로 드러났다. 

- 내구성(Durability): 이 앱들이 코로나바이러스 사태가 끝나고나서도 오랫동안 다른 목적으로 국민들을 감시하는 데 사용되는 영구적인 고정 장치가 될 수 있을까? 이에 대해 FPF의 폴리 샌더슨은 “중앙 집중형 모델을 사용하면 미래에 정부가 관련없는 목적으로 데이터를 사용할 수 있는 위험이 내재되어 있다”면서, “이런 우려는 적절한 데이터보호 프레임워크가 없거나 기본 인권을 준수하지 않는 지역에서 고조되고 있다”고 말했다.   
이 문제는 영국의 NHSX 수장인 매튜 굴드가 영국 의회 인권위원회에서 영국 국민은 추적 앱으로 수집한 데이터를 삭제할 수 없을 것이라고 알리면서 불거졌다. 굴드는 또한 "정부가 향후 연구를 위해 데이터를 '가명화된(pseudonymized)' 방식으로 보관할 것"이라고 말했다. 우드워드는 “여기서부터 걱정이 시작된다. 최악은 임무 변경(mission creep)”이라고 말했다. 
 
- 유용성(Utility): 코로나바이러스 확산을 막는데 유용한 앱이 과연 전 세계에 존재하는지 의문이 풀리지 않는다. 불확실성의 일부는 앱 도입 시점에서 비롯된다. 앱은 아직 개발 중이며, 사용자에게 도달하려면 최소 1~2개월은 걸릴 것이라는 공감대가 형성되어 있다. 그럼에도 불구하고 공중 보건 전문가들은 코로나바이러스 확산을 막는데 앱이 효과를 거두기 위해서는 보급률이 60% 이상이어야 한다고 말한다. 앱 사용이 의무적이지 않는 한, 중국을 제외하고는 거의 불가능하다. 또한 이 정도의 보급률에 도달하려면 수개월이 걸릴 수 있다. 예를 들어, 싱가포르는 4월에 앱을 출시했지만, 인구의 20%밖에 도입하지 않았다.  


개인정보보호가 가미된 접촉자 추적

대부분의 보안 전문가는 앱 데이터가 다른 목적으로 사용되지 않도록 법적, 기술적 보호 조치를 마련하는 것을 지지한다. 우드워드는 “이것이 휴대폰에 남아 있어야 하는 미래의 이유를 상상할 수 있으며, 중국처럼 행동하고 일반화된 추적 앱이 될 가능성이 있다”면서, “따라서 만료되는 즉시, 전체적으로 삭제해야 한다는 일몰 조항을 포함한 법적 보호 장치를 마련해야 한다”고 말했다.   

임무 변경의 가능성을 최소화할 수 있는 사용 통제나 수집된 데이터의 매개 변수를 제한하는 등의 입법 체계를 가진 국가는 거의 없다. 호주와 영국 모두 앱의 매개 변수를 제한할 수 있는 개인정보보호 및 기타 법률을 채택하는 방향으로 나아가고 있다. 

미국에서는 로저 워커 상원의원과 존 툰 상원의원이 코로나19 소비자 데이터 보호법(COVID-19 Consumer Data Protection)을 도입하겠다고 발표했다. 이들은 이 법안이 미국인에게 코로나19와 싸우는 데 개인 데이터를 사용하는 경우, 데이터가 어떻게 사용되고 저장되는지에 대해 더 많은 투명성을 제공하고 책임은 기업에 있다는 내용이라고 말했다. 
 
그러나 입법만이 임무 변경 문제를 막을 수 있는 것은 아니다. 샌더슨은 영국의 앱을 만든 NHSX가 설립한 윤리위원회가 임무 변경 문제에 대해 바람직한 정책 목표를 수립, 실행할 수 있는 길을 제시한다고 말했다. 

3월 말에 통과된 2조 달러 규모의 경기부양법안이 미국 질병관리본부(Centers for Disease Control, CDC)에 감시 및 데이터 수집 시스템을 위해 최소 5억 달러를 지원했지만, 현재 미국 정부에서 코로나바이러스 추적 앱 개발을 감독하는 사람이 누구인지 확실하지 않다. 사실상 다른 모든 국가와 달리, 미국은 구글-애플 형태의 민간 부분에서 추적 방법을 고안하고 보건 당국과 협력하는 구조인 것으로 보인다. 


접촉자 추적의 잠재적인 보안 위험 

접촉자 추적 앱이 어떤 사이버보안 취약점을 드러내는지 말하기에는 너무 이르다. 보안 연구진은 구글-애플 API를 제외하고는 모든 앱의 전체 소스코드는 여전히 사용할 수 없기 때문에 완전한 투명성과 분석이 필요하다고 말한다. 

또한 대부분의 앱은 아직 인도와 호주(및 중국) 이외의 지역에서는 출시되지 않아 연구원들이 작동 방식에 대한 가시성을 거의 얻지 못했다. 호주의 코비드세이프 앱과 인도의 아로쟈 세투(Aarogya Setu) 앱에 대한 연구원들의 초기 보고서는 주요 사이버보안 문제가 앞으로 닥칠 수 있음을 시사했다. 

호주 개발자 짐 머사어드는 코로나세이트 앱에서 악의적인 사용자가 무기한으로 어떤 사용자도 추적할 수 있는 문제를 발견했다. 머사어드는 호주 보건당국에 이 결함과 다른 취약점을 알렸다. 인도에서는 엘리엇 알더슨이라는 이름을 가진 윤리적 해커가 결함을 발견했지만 인도 정부는 그의 발견을 부인했다. 하지만 아로자 세투 앱이 쉽게 해킹당할 수 있다는 것을 시사한다. 

파이어아이의 그라우트는 “아직 앱을 둘러싼 주요 사이버보안 문제를 발견하지 못했지만, 주요 문제는 앱이 구현된 후에나 나타날 것”이라고 말했다. 보안전문가들은 다가오는 이 앱의 파도에 도전하고 테스트하기 위해 버그 바운티가 설정되어야 한다고 입을 모은다. 그라우트는 애플리케이션 제공업체들이 도전에 대해 개방적일 것이라 가정하는 것도 이런 제도때문이다"고 말했다. editor@itworld.co.kr 


X